⑴ 什麼是acl。什麼是控制列表
ACL(access control list)
訪問控製表
ACL是存在於計算機中的一張表,它使操作系統明白每個用戶對特定系統對象,例如文件目錄或單個文件的存取許可權。每個對象擁有一個在訪問控製表中定義的安全屬性。這張表對於每個系統用戶有擁有一個訪問許可權。最一般的訪問許可權包括讀文件(包括所有目錄中的文件),寫一個或多個文件和執行一個文件(如果它是一個可執行文件或者是程序的時候)。Windows NT,Novell公司的Netware,Digital公司的 OpenVMS和基於UNIX系統是使用這種訪問控製表的系統。而此表的實現在各個系統中卻不一樣。
在Windows NT中,每個系統對象和一個訪問控製表相關。每個ACL都有一個或多個訪問控制入口,包括用戶名或用戶組的名稱。對於每個用戶,組或人物,他們的訪問許可權在表中的一個位串中記錄。一般說來,系統管理員和對象的所有者創建對象的訪問控製表。
作為一個一般的例子,試想一個三個用戶的操作系統,在其中一個人是程序員,另一個是程序測試員最後一個是系統本身。ACL中的程序對象可能如下所示:
programmer read write execute
tester read execute
system execute
在這個三個入口的ACL中,在讀寫和執行程序對象前,系統將測試請求者是否有許可權提出這一請求。例如,程序測試者有權讀程序和運行程序,但無權寫程序,或更改程序。
⑵ 訪問控制列表的作用和組成是什麼
標准和擴展標準的ACL使用 1 ~ 99 以及1300~1999之間的數字作為表號 擴展的ACL使用 100 ~ 199以及2000~2699之間的數字作為表號作用:控制流量對網路統一管理流量允許、拒絕用 標准ACL對單以服務或協議控制允許、拒絕用 擴展ACL。
⑶ ACL(訪問控制列表)詳解
訪問控制列表(ACL)是應用在 路由器 介面的指令列表(即規則)。這些指令列表用來告訴路由器,那些數據包可以接受,那些數據包需要拒絕。
ACL使用包過濾技術,在路由器上讀取OSI七層模型的第3層和第4層包頭中的信息。如源地址,目標地址,源埠,目標埠等,根據預先定義好的規則,對包進行過濾,從而達到訪問控制的目的。
ACl是一組規則的集合,它應用在路由器的某個介面上。對路由器介面而言,訪問控制列表有兩個方向。
出:已經通過路由器的處理,正離開路由器的數據包。
入:已到達路由器介面的數據包。將被路由器處理。
————————————————
1、Access Contral List
2、ACL是一種包過濾技術。
3、ACL基於 IP包頭的IP地址 、 四層TCP/UDP頭部的埠號; 基於三層和四層過濾
4、ACL在路由器上配置,也可以在防火牆上配置(一般稱為策略)
5、ACL主要分為2大類:
標准 ACL
表號是 1-99 特點;
只能基於 源IP地址 對包進行過濾
擴展 ACL
表號:100-199
特點:可以基於源IP、目標IP、埠號、協議對包進行過濾
————————————————
ACL原理
1)ACL表必須應用到介面的進或出方向生效
2) 一個介面的一個方向 只能應用一張表
3)進還是出方向應用?取決於流量控制總方向
4)ACL表是嚴格自上而下檢查每一條,所以要注意書寫順序
5)每一條是有條件和動作組成,當流量不滿足某條件,則繼續檢查;當流量完全 滿足某條件,不再往後檢查 直接執行動作。
6)標准ACL盡量寫在靠近目標的地方
————————————————
將ACL應用到介面:
———————
注釋:反子網掩碼:將正子網掩碼0和1倒置
反子網掩碼:用來匹配,與0對應的嚴格匹配,與1對應的忽略匹配。
———————
例如:access-list 1 deny 10.1.1.1 0.255.255.255
解釋:該條目用來拒絕所有源IP為10開頭的
access-list 1 deny 10.1.1.1 0.0.0.0
簡寫:access-list 1 deny host 10.1.1.1
解釋:該條目用來拒絕所有源IP為10.1.1.1的主機
access-list 1 deny 0.0.0.0 255.255.255.255
簡寫:access-list 1 deny any
解釋:該條目用來拒絕所有人
————————————————
————————————————
1)做流量控制,首先要先判斷ACL寫的位置(那個路由器?那個介面的哪個方向?)
2)再考慮怎麼寫ACL
首先要判斷最終要 允許所有還是拒絕所有
將 【詳細的嚴格的控制】 寫在最前面
3)一般情況下,標准或擴展ACL一旦編寫,無法修改某一條,也無法刪除某一條,也無法往中間插入新的條目,只能一直在最後添加新的條目
如想修改插入或刪除,只能刪除整張表,重新寫!
conf t
no access-list 表號
查看ACL表:
show ip access-list [表ID]
————————————————
擴展ACL:
表號:100-199
特點:可以基於源IP、目標IP、埠號、協議對包進行過濾
命令:
acc 100 permint/deny 協議 源IP或源網段 反子網掩碼 目標IP 或源網段 反子網掩碼 [eq埠號]
注釋:協議:tcp/udp/icmp/ip
案例:
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
acc 100 deny ip host 10.1.1.1 20.1.1.1 0.0.0.255
————————————————
命名ACL:
作用:可以對標准或擴展ACL進行自定義命名
優點:
自定義命名更容易辨認,也便於記憶!
可以任意修改某一條,或刪除某一條,也可以往中間插入某一條
conf t
ip access-list standard/extended 自定義表名
開始從deny或permit編寫ACL條目
exit
刪除某一條:
ip access-list standard/extended 自定義表名
no 條目ID
exit
插入某一條:
IP access-list standard/extended 自定義表名
條目ID 動作 條件
————————————————
以上是以思科命令為例。
⑷ 自主訪問控制(DAC)與強制訪問控制(MAC)的原理是什麼,區別在哪裡各有什麼優缺點
雙系統或多系統有什麼優缺點,求祥解。XjU9es
⑸ 文件訪問控制列表的使用
要啟用ACL,需內核提供ACL支持和安裝ACL管理工具。現在的2.6內核都提供ACL支持,在編譯內核時只要在file systems分支下,把Ext2 POSIX Access Control Lists或Ext3 POSIX Access Control Lists選中就可以了。用以下命令掛接硬碟啟用文件系統ACL。
debian:~# mount -t ext2 -o acl /dev/hda1 /mnt/hda1
我們也可把選項寫到/etc/fstab文件中,在需啟用acl的分區選項包含acl參數。
ACL有兩種,一種是存取ACL(access ACLs),針對文件和目錄設置訪問控制列表。一種是默認ACL(default ACLs),只能針對目錄設置。如果目錄中的文件沒有設置ACL,它就會使用該目錄的默認ACL。要設置ACL,首先要安裝管理工具,它們分別是getfacl和setfacl,在debian中只要安裝acl軟體包即可。
debian:~# apt-get install acl
setfacl工具可為文件和目錄ACL,命令格式如下:
setfacl -m <rules> <files>
rules的格式如下,多條規則間可用逗號分隔。
u:uid:perms #為用戶設置ACL,perms為r、w、x的組合
g:gid:perms #為組設置ACL
o:perms #為其它組設置ACL
m:perms #設置有效許可權屏蔽
下面是setfacl的實例:
debian:~# setfacl -m u:jims:rw testfile.txt
#-m選項表示添加或修改文件或目錄的許可權訪問列表
debian:~# setfacl -x u:jims:rw testfile.txt
#-x選項表示刪除文件或目錄的訪問列表
要設置默認的ACL,只在rules前加一個d:,以表示指定一個目錄,如:
debian:~# setfacl -m d:o:rx /data
getfacl用以顯示文件或目錄的ACL,如:
debian:getfacl debian.xml
# file: debian.xml
# owner: jims
# group: jims
user::rwx
group::r--
other::r--
tar和mp工具不能備份ACL文件,如果我們要備份ACL文件系統,可以使用star工具。另外,samba可通過--with-acl-support編譯選項支持ACL。
⑹ 訪問控制列表有哪幾種類型,分別在哪個位置
1、標准IP訪問列表
編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。
2、擴展IP訪問
編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
3、命名的IP訪問
4、標准IPX訪問
標准IPX訪問控制列表的編號范圍是800-899。
5、擴展IPX訪問
擴展IPX訪問控制列表的編號范圍是900-999。
6、命名的IPX訪問
與命名的IP訪問控制列表一樣,命名的IPX訪問控制列表是使用列表名取代列表編號。
相關信息
ACL技術可以有效的在三層上控制網路用戶對網路資源的訪問,它可以具體到兩台網路設備間的網路應用,也可以按照網段進行大范圍的訪問控制管理,為網路應用提供了一個有效的安全手段。
一方面,採用ACL技術,網路管理員需要明確每一台主機及工作站所在的IP子網並確認它們之間的訪問關系,適用於網路終端數量有限的網路。對於大型網路,為了完成某些訪問控制甚至不得不浪費很多的IP地址資源。同時,巨大的網路終端數量,同樣會增加管理的復雜度和難度。
另一方面,維護ACL不僅耗時,而且在較大程度上增加路由器開銷。訪問控制列表的策略性非常強,並且牽涉到網路的整體規劃,它的使用對於策略制定及網路規劃的人員的技術素質要求比較高。因此,是否採用ACL技術及在多大的程度上利用它,是管理效益與網路安全之間的一個權衡。
⑺ acl是什麼意思
訪問控製表(Access Control List),又稱存取控制串列,是使用以訪問控制矩陣為基礎的訪問控製表,每一個(文件系統內的)對象對應一個串列主體。
訪問控製表由訪問控制條目(access control entries,ACE)組成。訪問控製表描述用戶或系統進程對每個對象的訪問控制許可權。訪問控製表的主要缺點是不可以有效迅速地枚舉一個對象的訪問許可權。因此,要確定一個對象的所有訪問許可權需要搜索整個訪問控製表來找出相對應的訪問許可權。
訪問控制列表具有許多作用:
1、如限制網路流量、提高網路性能;
2、通信流量的控制,例如ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量;
3、提供網路安全訪問的基本手段;
4、在路由器埠處決定哪種類型的通信流量被轉發或被阻塞,例如,用戶可以允許E-mail通信流量被路由,拒絕所有的 Telnet通信流量等;
5、訪問控制列表從概念上來講並不復雜,復雜的是對它的配置和使用,許多初學者往往在使用訪問控制列表時出現錯誤。
與 RBAC 比較
ACL 模型的主要替代方案是基於角色的訪問控制(RBAC) 模型。「最小 RBAC 模型」RBACm可以與 ACL 機制ACLg進行比較,其中僅允許組作為 ACL 中的條目。Barkley (1997)表明RBACm和ACLg是等效的。
在現代 SQL 實現中,ACL 還管理組層次結構中的組和繼承。因此,「現代 ACL」可以表達 RBAC 表達的所有內容,並且在根據管理員查看組織的方式表達訪問控制策略的能力方面非常強大(與「舊 ACL」相比)。
⑻ 存取控制矩陣和存取控製表存放在哪裡
存取控制矩陣和存取控製表存放在文件內。文件的存取控制方式有:存取控制矩陣,存取控製表,口令方式,密碼方式共四種。
⑼ 訪問能力表和訪問控製表的比較
訪問能力表是以用戶為中心建立訪問許可權表
訪問控製表是以文件為中心建立的訪問許可權表
⑽ 訪問控制有幾種常用的實現方法它們各有什麼特點
1訪問控制矩陣
行表示客體(各種資源),列表示主體(通常為用戶),行和列的交叉點表示某個主體對某個客體的訪問許可權。通常一個文件的Own許可權表示可以授予(Authorize)或撤消(Revoke)其他用戶對該文件的訪問控制許可權。
2訪問能力表
實際的系統中雖然可能有很多的主體與客體,但兩者之間的許可權關系可能並不多。為了減輕系統的開銷與浪費,我們可以從主體(行)出發,表達矩陣某一行的信息,這就是訪問能力表(Capabilities)。
只有當一個主體對某個客體擁有訪問的能力時,它才能訪問這個客體。但是要從訪問能力表獲得對某一特定客體有特定許可權的所有主體就比較困難。在一個安全系統中,正是客體本身需要得到可靠的保護,訪問控制服務也應該能夠控制可訪問某一客體的主體集合,於是出現了以客體為出發點的實現方式——ACL。
3訪問控製表
也可以從客體(列)出發,表達矩陣某一列的信息,這就是訪問控製表(AccessControlList)。它可以對某一特定資源指定任意一個用戶的訪問許可權,還可以將有相同許可權的用戶分組,並授予組的訪問權。
4授權關系表
授權關系表(AuthorizationRelations)的每一行表示了主體和客體的一個授權關系。對表按客體進行排序,可以得到訪問控製表的優勢;對表按主體進行排序,可以得到訪問能力表的優勢。適合採用關系資料庫來實現。